如果不是,这些CSRF生成的令牌存储在哪里:JCR Repository还是应用程序堆中的对象?它如何在非常高的级别验证收到的令牌?
如果是,这不是一个可扩展的问题吗?
我试图关注以下链接:https://tools.ietf.org/html/draft-ietf-oauth-json-web-token-16#section-7& https://tools.ietf.org/html/draft-ietf-jose-json-web-signature-41#appendix-A.4.2并且似乎他们使用一种公钥 - 私钥,以及用户,用户代理和其他信息来构建密钥对和签名,并以类似的方式验证它,其中令牌是在某种意义上解密,但不完全匹配它与另一个存储的令牌。但不确定,因此问题。
答案 0 :(得分:2)
简短回答:是 AEM CSRF身份验证/保护框架 无状态。
<强>详情
令牌未被保留,所有信息都在使用Symmetric Algorithm加密的令牌中。只要所有实例共享相同的加密密钥,任何实例都可以解密和解码在集群内发出的CSRF令牌。有关这方面的更多详细信息,请参阅官方CSRF documentation。